起業ログTOP > 法人ITサービス一覧 > セキュリティ・脆弱性診断 > yamory
起業ログTOP > 法人ITサービス一覧 > セキュリティ・脆弱性診断 > yamory
記事更新日: 2022/06/28
シンプルな脆弱性管理で情報漏洩リスクゼロを目指せる
「yamory」はシステムの脆弱性を自動で検知し対応フローを構築できるクラウド型のセキュリティ診断ツールです。「yamory」一つでライブラリやフレームワーク、ミドルウェア、OSの脆弱性を一元管理でき、シンプルに脆弱性対策を行えます。
特に、エンジニアの業務負担軽減に力を入れているのが特徴。脆弱性の対応優先度を自動で判断できたり、検出された脆弱性を迅速にチーム内で共有できたり、脆弱性診断を自動化できたりするなど、エンジニアに重宝される機能が充実しています。
少ない労力で情報漏洩リスクゼロを目指したい企業は必見です。
セキュリティ・脆弱性診断を比較したい方はこちら
利用規約とご案内の連絡に同意の上
セキュリティ診断ツールツールを徹底的に調べた起業LOG編集部がおすすめする5サービスの資料をダウンロードできます。
ITシステムに潜む脆弱性を「yamory」一つで検知し管理できます。脆弱性の対応優先度を自動で判断し可視化できるので、エンジニアの負担を削減できます。
手動診断に対応していません。30日間の無料トライアルがあるので、事前の確認をおすすめします。
オープンソースの脆弱性診断と対応優先度を自動で可視化できます。脆弱性対策を「yamory」一つで行え、シンプルな管理を実現できます。
「yamory」はクラウ型のドサービスなので、登録後すぐに利用を開始できます。
サービス提供元はビズリーチ社。人財活用プラットフォーム「HRMOS」や転職サイト「キャリトレ」などを開発している企業です。
このページの目次
「yamory」なら、ITシステム基盤のライブラリ、フレームワーク、ミドルウェア、OSの脆弱性を一元管理できます。
国産のセキュリティ診断ツールでオールインワン機能を備えているのは「yamory」だけ。
オープンソースソフトウェアの脆弱性対策と管理を「yamory」一つで行えるので、複数のツールを組み合わせ利用する必要がありません。
脆弱性対策・管理をシンプルに行えるので無駄なコストを省けるでしょう。
ライブラリ、フレームワーク、ミドルウェア、OSの脆弱性スキャンはものの数分で完了。
エンジニアの負担も軽減できます。
各種ITシステム基盤を一元管理できる
「yamory」には脆弱性の修正を対応するエンジニアの負担を最小限におさえるための機能が多く施されています。
その一つが脆弱性の対応優先度を自動で判断できる機能。
外部から受けるリスクを以下3つの観点で考慮し、対応優先順位をつけます。
1.危険な脆弱性
Webシステムに被害をもたらす可能性があるか
2.攻撃コード(PoC)
関連する攻撃コードが流通していて、悪用可能な状態にあるか
3.公開サービス・公開ホスト
脆弱性が検出されているシステムが外部から攻撃可能な状態であるか
順位付けされた脆弱性の中で、迅速な対応が推奨される脆弱性は4つのカテゴリーに分類され可視化されます。
対応目安が視覚化されることで、エンジニアの負担を軽減できます。
脆弱性は4つのカテゴリーに分類される
さらに、検知された脆弱性を自動でチームに通知するように設定することも可能。
Slackと連携させることで、優先度の高い脆弱性をいち早くチーム内で共有できます。
「yamory」をCI(Continuous Integration:継続的インテグレーション)に組み込むことで、継続的な脆弱性診断を自動化できます。
「yamory」のCIへの組み込みはコマンドラインから簡単に設定できます。
継続的な自動スキャンが可能となることで、脆弱性対策、及び管理を効率よく進められます。
「yamory」をCIに組み込む
「yamory」は2019年8月に株式会社ビズリーチからリリースされました。
ビズリーチ社といえば、有名転職サイトの「ビズリーチ」を始め、採用管理システムの「HRMOS」、若年層を対象とした転職サイト「キャリトレ」など、さまざまな有名プラットフォームの開発を手がけていることで有名です。
セキュリティ診断の運用実績はまだ2年と浅いですが、システム開発の技術には信頼がおけます。
「yamory」は手動の脆弱性診断に対応していません。
「yamory」を含む多くのセキュリティ診断ツールは効率性に優れていますが、脆弱性の見逃しや誤検出の可能性は0ではありません。
また、Webソフトの脆弱性の中には、人間の操作や判断がないと検出が難しいものも存在します。
競合サービスの中には、費用は高額ですが、熟練したセキュリティの専門家により最適な手法で脆弱性診断が行われるサービスもあります。
手動診断の要否は慎重に判断しましょう。
料金プランはプロプランが一つ用意されています。
中〜大規模組織向けのサービスで料金はお問い合わせが必要です。
30日間の無料トライアルが用意されているので、使用感を試すためにも利用してみることをおすすめします。
支払い後の返金は受け付けていないので、あくまで導入は慎重に行いましょう。
セキュリティ診断サービスは、無料から100万円以上と価格帯の幅が広いです。
診断方法や診断内容、システムの規模などにより料金が大きく異なるので、自社のセキュリティ診断の目的や予算、社員のITリテラシーなどをよく考慮しサービスを選びましょう。
| yamory | Lac Webアプリケーション診断 | Vlus | |
| 費用 | 要問合わせ | 1サイト100万円〜 | 無料〜 |
| 特徴 | IT システムに潜む脆弱性を自動検知 | 専門家の手動診断 | オープンソースソフトウェア |
*「yamory」公式HP参照
診断ツールの導入によりエンジニアの作業負担を削減したい企業
「yamory」は、特にエンジニアの作業負担の軽減に力を入れているツール。
脆弱性診断を自動化できたり、検知された脆弱性に対応優先順位をつけたり、チーム内で迅速にシェアできたりするなど、「yamory」を効果的に利用すれば、エンジニアの業務負担を確実に削減できます。
無料のセキュリティ診断を扱えるレベルのエンジニアが在籍していない企業
セキュリティ診断ツールの中には無料で利用できるサービスもたくさんあります。
しかし、無料のものは専門的な知識や高度な技術を持つエンジニアでないと使いこなせないというデメリットが。
ですから、自社に高度なIT人材がいない、もしくは人材はいてもセキュリティ診断に手が回らない、といった企業には「yamory」の利用をおすすめします。
手動診断にこだわりたい企業
デメリットの項でも解説した通り、「yamory」は手動の脆弱性診断に対応していません。
時間がかかっても徹底的な脆弱性診断を行いたい企業は、手動診断に対応できるサービスを選びましょう。
「yamory」はシンプルな脆弱性管理を行えるセキュリティ診断ツール。
「yamory」一つでシステムに潜む脆弱性を検知し、一元管理できるのが強みです。
エンジニアの負担を少しでも軽減させたい企業にはぜひ必見のツールです。
画像出典元:「yanmory」公式HP
100社の導入事例まとめがついてくる!
起業LOG独自取材!
yamoryを導入してみて、脆弱性管理にかかる工数自体が減ったことが大きいですが、チェックの抜け漏れを防止できるという精度面でも助かっています。また、検知された脆弱性に対し対応方法が書かれているところがとても助かっています。対応方法を教えてくれるので、マイナーバージョンであればすぐにバージョンを上げてしまおう、メジャーバージョンアップであれば少し調査しよう、というように、すぐに対応に動けます。